ma5200 NAS-IP地址改变导致MA5200业务不通

发布时间:  2012-07-26 浏览次数:  115 下载次数:  0
问题描述
MA5200软件版本:MA2.10-9313(MA5200V100R009B03D013)
组网概述:PC-dslam-MA5200-Raidus服务器
故障现象:
  1、ma5200双hrb板上行,一主一备,ma5200上配置优先级不同的默认路由。通过主用链路上行的时候,ma5200下所有用户上网正常。备用链路开局期间测试,pppoe业务正常。
  2、用户光纤链路调整主用光纤中断,ma5200下所有pppoe用户无法上网。
  3、从ma5200上查看备用链路,接口状态正常,能ping通上行对端ip及radius server;查看alarm信息,发现MA5200上出现认证服务器DOWN告警;在ma5200上debug radius信息,发现RADIUS认证报文没有响应,只能看到MA5200发出了认证请求,但是没有收到任何响应报文(接受或拒绝)。
告警信息
在MA5200出现认证服务器DOWN告警:
3716350 10010b06 2005/3/30-18:35:35 一般  RD:Radius 服务器通讯中断(Radius Group hy5200,IP 202.103.100.116) 
处理过程
  1、在ma5200上添加loopback地址,配置ma5200使RADIUS、Portal、网管报文源地址使用环回接口地址。
  2、配置ma5200到radius server之间的路由,保证ma5200 loopback地址路由可达。在radius server上添加相应loopback地址的网络节点。

建议与总结:
  1、Ma5200默认采用出口ip为nas-ip。由于loopback地址不会down,建议使用loopback地址做为nas-ip。ma5200从MA2.10-9306版本开始支持RADIUS、Portal、网管报文源地址选择环回接口地址功能。 
  2、ma5200双hrb双上行组网方式推荐使用trunk配置。MA5200可以通过Trunk功能把某块HAB板的多个接口绑定;对于HRB板,MA5200支持HRB板间以太网接口的Trunk,即一个虚通道可以绑定不同HRB板的以太网接口。建议用户改变组网方式。

总结:此问题解决方案对所有MA5200版本都适应,当RADIUS不响应请求报文时就需要检查MA5200发送的RADIUS报文中的NAS-IP是否和RADIUS服务器上的配置一致!
根因
     ma5200与radius server通讯异常,RADIUS认证报文没有响应,只能看到MA5200发出了认证请求,但是没有收到任何响应报文(接受或拒绝)。默认情况下RADIUS报文重发两次(共三次),如果都收不到响应,就会打出radius认证服务器down的告警。这种情况一般可能的原因如下:
  1、RADIUS没有配置相应的对应这台MA5200的NAS-IP;
  2、RADIUS和MA5200间的共享密钥(secret-key)不一致;
  3、RADIUS和MA5200配置的端口号一不致;
  4、RADIUS和MA5200上配置的协议类型不一致,比如RADIUS使用标准的RADIUS协议,而MA5200上配置的协议类型为iphotel(即RADIUS+1.0)等,要求必须配置一致。MA5200上配置协议类型为standard表示标准RADIUS协议,iphotel表示RADIUS+1.0协议,portal表示RADIUS+1.1协议;
  5、到RADIUS的链路不正常,可以通过在MA5200的控制台PING RADIUS服务器的地址是否可以PING通来判断。
  此次故障是第一种原因。Ma5200使用type 4 上报NAS-IP-Address属性,默认使用上行接口的ip地址。本次故障中由于ma5200上行接口改变,nas-ip改变,由于此时radius server没有添加新的地址节点,导致ma5200与radius server通讯错误(备用链路开局期间测试正常,radius server此后删除了对应节点)。

END